VTS19-001: Multiple Vulnerabilities in NetBackup Appliance

Révisions

1.0 : 18 mars 2019 : version initiale
1.1 : 19 mars 2019 : ajout des ID de CVE

Résumé

Plusieurs vulnérabilités dans l'appliance Veritas NetBackup.

Problème	Description	Gravité	Version corrigée
1	Mot de passe SMTP présenté à l'administrateur	Moyen	EEB de mars 2019
2	Mot de passe du serveur proxy présenté à l'administrateur	Moyen	EEB de mars 2019

Problèmes

Problème 1

Mot de passe SMTP présenté à l'administrateur.

ID de CVE : CVE-2019-9868
Gravité : moyenne
Score de base CVSS v3 : 6,6 (AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L)

Lorsque vous utilisez la console Web de l'appliance NetBackup, si un mot de passe SMTP a précédemment été configuré pour une utilisation avec celle-ci, un administrateur peut récupérer le mot de passe du compte le cas échéant, même si SMTP est actuellement inactif. Il voit ainsi s'afficher l'ensemble des informations d'authentification du compte, ce qui lui permet d'accéder au serveur SMTP à d'autres fins (pour modifier le mot de passe et empêcher l'appliance d'envoyer des e-mails, par exemple).

Produits concernés

Appliance NetBackup 3.1.2, 3.1.1, 3.1, 3.0, 2.7.3 et, potentiellement, des versions antérieures non prises en charge, sur lesquelles les EEB de mars 2019 ne sont pas installés

Problème 2

Mot de passe du serveur proxy présenté à l'administrateur

ID de CVE : CVE-2019-9867
Gravité : moyenne
Score de base CVSS v3 : 6,6 (AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:L)

Lorsque vous utilisez la console Web de l'appliance NetBackup, si un mot de passe de serveur proxy a précédemment été configuré pour une utilisation avec celle-ci, un administrateur peut récupérer le mot de passe du compte, même si le serveur Call Home ou proxy est actuellement inactif. L'administrateur voit ainsi s'afficher l'ensemble des informations d'authentification du compte, ce qui lui permet d'accéder au serveur proxy à d'autres fins (pour modifier le mot de passe et empêcher l'appliance d'utiliser le serveur proxy, par exemple).

Remarque : Pour les appliances NetBackup 3.1.1 et 3.1.2, « <saved> » s'affiche au lieu du mot de passe réel. Cependant, il peut être trouvé dans le code HTML de la page.

Produits concernés

Appliance NetBackup 3.1.2, 3.1.1, 3.1, 3.0, 2.7.3 et, potentiellement, des versions antérieures non prises en charge, sur lesquelles les EEB de mars 2019 ne sont pas installés

Références

Note technique avec lien vers les EEB

Questions

Si vous avez des questions sur les informations indiquées dans cet avis de sécurité, contactez le support technique de Veritas.

Bonnes pratiques

Dans le cadre des bonnes pratiques normales, Veritas recommande aux clients ce qui suit :

Limitez l'accès aux systèmes d'administration ou de gestion aux utilisateurs privilégiés.
Limitez l'accès à distance aux seuls systèmes approuvés/autorisés, si nécessaire.
Tenez à jour tous les systèmes d'exploitation et les applications avec les derniers correctifs du fournisseur.
Suivez une approche de sécurité multicouche. Exécutez au minimum des applications pare-feu et anti-logiciel malveillant afin de fournir plusieurs points de détection et de protection contre les menaces entrantes et sortantes.
Déployez des systèmes de détection des intrusions basés sur le réseau et l'hôte pour contrôler le trafic réseau et détecter tout signe d'activité suspecte anormale. Ceci peut faciliter la détection des attaques ou activités malveillantes liées à l'exploitation des vulnérabilités latentes.

Clause de non-responsabilité

LE PRÉSENT AVIS DE SÉCURITÉ EST FOURNI « EN L'ÉTAT » ET TOUTE CONDITION, DÉCLARATION ET GARANTIE, EXPRESSE OU IMPLICITE, NOTAMMENT TOUTE GARANTIE DE QUALITÉ MARCHANDE OU D'ADAPTATION À UN USAGE PARTICULIER OU DE NON-VIOLATION EST EXCLUE, SAUF DANS LA MESURE OU CETTE CLAUSE DE RESPONSABILITÉ EST CONSIDÉRÉE COMME LÉGALEMENT NULLE. Veritas Technologies LLC NE SAURAIT ÊTRE TENUE POUR RESPONSABLE DES DOMMAGES ACCIDENTELS OU CONSÉQUENTS À LA FOURNITURE, AUX PERFORMANCES OU À L'UTILISATION DE CETTE DOCUMENTATION. LES INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION PEUVENT FAIRE L'OBJET DE MODIFICATIONS SANS PRÉAVIS.

Veritas Technologies LLC
500 East Middlefield Road
Mountain View, CA 94043

http://www.veritas.com/

© 2019 Veritas Technologies LLC. Tous droits réservés. Veritas, le logo Veritas et NetBackup sont des marques commerciales ou des marques déposées de Veritas Technologies LLC ou de ses filiales aux États-Unis et dans d'autres pays. Les autres noms cités peuvent être des marques commerciales appartenant à leurs propriétaires respectifs.